Connectivity architecture for Azure SQL Managed Instance
A következőre vonatkozik:
Felügyelt Azure SQL-példány
Ez a cikk ismerteti a felügyelt Azure SQL-példány kapcsolati architektúráit, valamint azt, hogy az összetevők hogyan irányítják a felügyelt példányok kommunikációs forgalmát.
Áttekintés
A felügyelt SQL-példányban egy példány az Azure-beli virtuális hálózaton belül és a felügyelt példányok számára dedikált alhálózaton belülre kerül. Az üzembe helyezés a következő lehetőségeket biztosítja:
- Biztonságos virtuális hálózati (VNet-local) IP-cím.
- Helyszíni hálózat csatlakoztatása felügyelt SQL-példányhoz.
- A felügyelt SQL-példány összekapcsolásának lehetősége egy csatolt kiszolgálóhoz vagy egy másik helyszíni adattárhoz.
- A felügyelt SQL-példány azure-erőforrásokhoz való csatlakoztatásának lehetősége.
Megjegyzés:
A 2022. novemberi funkcióhullám módosította a felügyelt SQL-példány alapértelmezett kapcsolati struktúráját. Ez a cikk a funkcióhullámban még nem regisztrált példányok jelenlegi architektúrájáról és architektúrájáról nyújt tájékoztatást. További információ: 2022. novemberi funkcióhullám.
2022. novemberi funkcióhullám
A 2022. novemberi funkcióhullám a következő módosításokat vezette be az SQL Managed Instance kapcsolati architektúrában:
- Eltávolította a felügyeleti végpontot.
- Egyszerűsített kötelező hálózati biztonsági csoportszabályok (egy kötelező szabály el lett távolítva).
- Módosította a kötelező hálózati biztonsági csoportszabályokat, hogy a továbbiakban ne tartalmazzanak kimenő forgalmat az AzureCloudba a 443-as porton.
- Egyszerűsítette az útvonaltáblát (13-ról 5-re csökkentette a kötelező útvonalakat).
Magas szintű kapcsolati architektúra
A felügyelt SQL-példány olyan szolgáltatásösszetevőkből áll, amelyek elkülönített virtuális gépek dedikált készletén vannak tárolva, amelyek hasonló konfigurációs attribútumok szerint vannak csoportosítva, és csatlakoznak egy virtuális fürthöz. Egyes szolgáltatásösszetevők az ügyfél virtuális hálózati alhálózatán belül vannak üzembe helyezve, míg más szolgáltatások a Microsoft által felügyelt biztonságos hálózati környezetben működnek.
Az ügyfélalkalmazások csatlakozhatnak a felügyelt SQL-példányhoz, és lekérdezhetik és frissíthetik a virtuális hálózaton belüli adatbázisokat, a társhálózati virtuális hálózatot vagy a VPN vagy az Azure ExpressRoute által csatlakoztatott hálózatot.
Az alábbi ábra a felügyelt SQL-példányhoz csatlakozó entitásokat mutatja be. A felügyelt példányokkal való kommunikációhoz szükséges erőforrásokat is megjeleníti. A diagram alján található kommunikációs folyamat a felügyelt SQL-példányhoz adatforrásként csatlakozó ügyfélalkalmazásokat és eszközöket jelöli.
A felügyelt SQL-példány egy egybérlős, szolgáltatásként nyújtott platform, amely két síkban működik: egy adatsíkban és egy vezérlősíkban.
Az adatsík az ügyfél alhálózatán belül van üzembe helyezve a kompatibilitás, a kapcsolat és a hálózatelkülönítés érdekében. Az adatsík olyan Azure-szolgáltatásoktól függ, mint az Azure Storage, a Microsoft Entra ID (korábbi nevén Azure Active Directory) a hitelesítéshez és a telemetriagyűjtési szolgáltatásokhoz. Ezekre a szolgáltatásokra a felügyelt SQL-példányt tartalmazó alhálózatokból származó forgalom jelenik meg.
A vezérlősík automatizált ügynökökön keresztül végzi az üzembe helyezési, felügyeleti és alapvető szolgáltatáskarbantartási funkciókat. Ezek az ügynökök kizárólagos hozzáféréssel rendelkeznek a szolgáltatást üzemeltető számítási erőforrásokhoz. Ezeket a gazdagépeket nem használhatja vagy távoli ssh asztali protokolllal érheti el. A vezérlősík összes kommunikációja tanúsítványokkal van titkosítva és aláírva. A kommunikáló felek megbízhatóságának ellenőrzéséhez a felügyelt SQL-példány folyamatosan ellenőrzi ezeket a tanúsítványokat a visszavont tanúsítványok listájának használatával.
A kommunikáció áttekintése
Az alkalmazások három végponttípuson keresztül csatlakozhatnak a felügyelt SQL-példányhoz. Ezek a végpontok különböző forgatókönyveket szolgálnak ki, és eltérő hálózati tulajdonságokat és viselkedést mutatnak.
Virtuális hálózat helyi végpontja
The VNet-local endpoint is the default means to connect to SQL Managed Instance. A virtuális hálózat helyi végpontja egy olyan tartománynév, amely az <mi_name>.<dns_zone>.database.windows.net alhálózat címkészletéből egy IP-címmel oldható fel, ezért vNet-local, vagy a virtuális hálózat helyi végpontja. A VNet helyi végpontja a felügyelt SQL-példányhoz való csatlakozáshoz használható minden szabványos kapcsolati forgatókönyvben.
A VNet helyi végpontjai támogatják az átirányítási kapcsolat típusát.
A VNet-helyi végponthoz való csatlakozáskor mindig használja a tartománynevét, mivel a mögöttes IP-cím időnként változhat.
Nyilvános végpont
A nyilvános végpont egy választható tartománynév, amely az <mi_name>.public.<dns_zone>.database.windows.net internetről elérhető nyilvános IP-címre lesz feloldva. A nyilvános végpont lehetővé teszi, hogy a TDS-forgalom csak a 3342-as porton elérje a felügyelt SQL-példányt, és nem használható integrációs forgatókönyvekhez, például feladatátvételi csoportokhoz, felügyelt példány hivatkozásához és hasonló technológiákhoz.
A nyilvános végponthoz való csatlakozáskor mindig használja a tartománynevét, mivel az alapul szolgáló IP-cím időnként változhat.
A nyilvános végpont mindig proxykapcsolattípusban működik.
Megtudhatja, hogyan állíthat be nyilvános végpontot a felügyelt Azure SQL-példány nyilvános végpontjának konfigurálásához.
Private endpoints
A privát végpont egy nem kötelező rögzített IP-cím egy másik virtuális hálózatban, amely a felügyelt SQL-példány felé irányítja a forgalmat. Egy felügyelt Azure SQL-példány több privát végponttal is rendelkezhet több virtuális hálózatban. A privát végpontok lehetővé teszik, hogy a TDS-forgalom csak az 1433-as porton elérje a felügyelt SQL-példányt, és nem használható integrációs forgatókönyvekhez, például feladatátvételi csoportokhoz, felügyelt példány hivatkozásához és más hasonló technológiákhoz.
Privát végponthoz való csatlakozáskor mindig használja a tartománynevet, mivel a felügyelt Azure SQL-példányhoz az IP-címével való csatlakozás még nem támogatott.
A privát végpontok mindig proxykapcsolattípusban működnek.
További információ a privát végpontokról és azok konfigurálásáról a felügyelt Azure SQL-példányhoz készült Azure Private Linkben.
Virtuális fürt kapcsolati architektúrája
Ez a szakasz részletesebben ismerteti a felügyelt SQL-példány virtuális fürtkapcsolati architektúráját. Az alábbi ábra a virtuális fürt fogalmi elrendezését mutatja be:
A virtuális hálózat helyi végpontjának tartományneve egy belső terheléselosztó privát IP-címére lesz feloldva. Bár ez a tartománynév egy nyilvános dns-zónában van regisztrálva, és nyilvánosan feloldható, az IP-címe az alhálózat címtartományához tartozik, és alapértelmezés szerint csak a virtuális hálózatán belülről érhető el.
A terheléselosztó átirányítja a forgalmat egy felügyelt SQL-példány-átjáróra. Mivel több felügyelt példány is futtatható ugyanazon a fürtön belül, az átjáró a felügyelt SQL-példány gazdagépének nevét használja a kapcsolati sztring a forgalom megfelelő SQL-motorszolgáltatásba való átirányításához.
A fürt létrehozásakor a rendszer automatikusan létrehozza az értéket zone-id . Ha egy újonnan létrehozott fürt másodlagos felügyelt példányt üzemeltet, a zónaazonosítóját megosztja az elsődleges fürttel.
Szolgáltatással segített alhálózat-konfiguráció
A szolgáltatásbiztonság, a kezelhetőség és a rendelkezésre állás javítása érdekében a felügyelt SQL-példány hálózati szándékszabályzatot alkalmaz az Azure-beli virtuális hálózati infrastruktúra egyes elemeire. A szabályzat úgy konfigurálja az alhálózatot, a társított hálózati biztonsági csoportot és az útvonaltáblát, hogy a felügyelt SQL-példányra vonatkozó minimális követelmények teljesüljenek. Ez a platformmechanizmus transzparens módon közli a hálózatkezelési követelményeket a felhasználókkal. A szabályzat fő célja a hálózati helytelen konfiguráció megakadályozása, valamint a felügyelt SQL-példányok normál műveleteinek és szolgáltatásiszint-szerződési kötelezettségvállalásának biztosítása. Felügyelt példány törlésekor a hálózati szándékszabályzat is törlődik.
A szolgáltatás által támogatott alhálózat-konfiguráció a virtuális hálózati alhálózat-delegálási funkcióra épül, amely automatikus hálózati konfigurációkezelést és szolgáltatásvégpontok engedélyezését teszi lehetővé.
Szolgáltatásvégpontok használatával konfigurálhatja a virtuális hálózati tűzfalszabályokat olyan tárfiókokon, amelyek biztonsági másolatokat és naplókat tárolnak. Még ha a szolgáltatásvégpontok engedélyezve vannak is, az ügyfeleknek érdemes az Azure Private Linket használniuk a tárfiókjaik eléréséhez. A Privát kapcsolat több elkülönítést biztosít, mint a szolgáltatásvégpontok.
Fontos
A vezérlősík konfigurációs sajátosságai miatt a szolgáltatás által támogatott alhálózati konfiguráció nem teszi lehetővé a szolgáltatásvégpontokat az országos felhőkben.
Hálózati követelmények
A felügyelt SQL-példányt üzembe helyező alhálózatnak a következő jellemzőkkel kell rendelkeznie:
- Dedikált alhálózat: A felügyelt SQL-példány által használt alhálózat csak a felügyelt SQL-példány szolgáltatáshoz delegálható. Az alhálózat nem lehet átjáróalhálózat, és csak az SQL Managed Instance-erőforrásokat helyezheti üzembe az alhálózaton.
- Alhálózat-delegálás: A felügyelt SQL-példány alhálózatát delegálni kell az
Microsoft.Sql/managedInstanceserőforrás-szolgáltatóhoz. - Hálózati biztonsági csoport: A felügyelt SQL-példány alhálózatához hálózati biztonsági csoportot kell társítani. Egy hálózati biztonsági csoporttal szabályozhatja a felügyelt SQL-példány adatvégpontjaihoz való hozzáférést az 1433-at és az 11000-11999-et porton lévő forgalom szűrésével, ha a felügyelt SQL-példány átirányítási kapcsolatokra van konfigurálva. A szolgáltatás automatikusan kiépít szabályokat , és szükség szerint naprakészen tartja őket a felügyeleti forgalom zavartalan áramlásának lehetővé tétele érdekében.
- Útvonaltábla: Egy útvonaltáblát hozzá kell társítani a felügyelt SQL-példány alhálózatához. Bejegyzéseket adhat hozzá ehhez az útvonaltáblához, például a forgalmat egy virtuális hálózati átjárón keresztül a helyszínre irányíthatja, vagy hozzáadhatja az alapértelmezett 0.0.0.0/0 útvonalat , amely az összes forgalmat egy virtuális hálózati berendezésen, például tűzfalon keresztül irányítja. A felügyelt Azure SQL-példány automatikusan kiépíti és kezeli a szükséges bejegyzéseket az útvonaltáblában.
- Megfelelő IP-címek: A felügyelt SQL-példány alhálózatának legalább 32 IP-címmel kell rendelkeznie. További információ: Felügyelt SQL-példány alhálózatának méretének meghatározása. A felügyelt példányokat a meglévő hálózaton is üzembe helyezheti, miután konfigurálta, hogy megfeleljen a felügyelt SQL-példányra vonatkozó hálózati követelményeknek. Egyéb esetben hozzon létre egy új virtuális hálózatot és alhálózatot.
- Az Azure-szabályzatok engedélyezik: Ha az Azure Policy használatával akadályozza meg az erőforrások létrehozását vagy módosítását egy felügyelt SQL-példány alhálózatát vagy virtuális hálózatát tartalmazó hatókörben, a szabályzatok nem akadályozhatják meg a felügyelt SQL-példányt a belső erőforrások kezelésében. A következő erőforrásokat ki kell zárni a normál működés házirend-megtagadási hatásaiból:
Microsoft.Network/serviceEndpointPoliciesTípusú erőforrások, amikor az erőforrás neve a kezdőbetűvel kezdődik\_e41f87a2\_- Minden típusú erőforrás
Microsoft.Network/networkIntentPolicies - Minden típusú erőforrás
Microsoft.Network/virtualNetworks/subnets/contextualServiceEndpointPolicies
- Zárolások a virtuális hálózaton: A dedikált alhálózat virtuális hálózatának, szülő erőforráscsoportjának vagy előfizetésének zárolása időnként megzavarhatja a felügyelt SQL-példányok felügyeletét és karbantartását. Az erőforrás-zárolások használatakor különös figyelmet kell vállalnia.
- Replikációs forgalom: A feladatátvételi csoportok replikációs forgalmának két felügyelt példány között közvetlennek kell lennie, és nem kell központi hálózaton keresztül irányítani.
- Egyéni DNS-kiszolgáló: Ha a virtuális hálózat egyéni DNS-kiszolgáló használatára van konfigurálva, a DNS-kiszolgálónak képesnek kell lennie a nyilvános DNS-rekordok feloldására. Az olyan funkciók használata, mint a Microsoft Entra-hitelesítés, szükségessé teheti a teljes tartománynevek (FQDN-k) feloldását. További információ: Privát DNS-nevek feloldása felügyelt Azure SQL-példányban.
Kötelező biztonsági szabályok szolgáltatás által támogatott alhálózat-konfigurációval
A bejövő felügyeleti forgalom biztosításához az alábbi táblázatban leírt szabályokra van szükség. A szabályokat a hálózati szándék szabályzata kényszeríti ki, és az ügyfélnek nem kell üzembe helyeznie. A kapcsolati architektúrával és a felügyeleti forgalommal kapcsolatos további információkért tekintse meg a magas szintű kapcsolati architektúrát.
| Name | Port | Protokoll | Forrás | Cél | Művelet |
|---|---|---|---|---|---|
| healthprobe-in | Bármelyik | Bármelyik | AzureLoadBalancer | Alhálózati | Engedélyezve |
| belső | Bármelyik | Bármelyik | Alhálózati | Alhálózati | Engedélyezve |
A kimenő felügyeleti forgalom biztosításához az alábbi táblázatban leírt szabályokra van szükség. A kapcsolati architektúrával és a felügyeleti forgalommal kapcsolatos további információkért tekintse meg a magas szintű kapcsolati architektúrát.
| Name | Port | Protokoll | Forrás | Cél | Művelet |
|---|---|---|---|---|---|
| AAD-out | 443 | TCP | Alhálózati | AzureActiveDirectory | Engedélyezve |
| OneDsCollector-out | 443 | TCP | Alhálózati | OneDsCollector | Engedélyezve |
| belső kifelé | Bármelyik | Bármelyik | Alhálózati | Alhálózati | Engedélyezve |
| StorageP-out | 443 | Bármelyik | Alhálózati | Tároló.primaryRegion | Engedélyezve |
| StorageS-out | 443 | Bármelyik | Alhálózati | Tároló.secondaryRegion | Engedélyezve |
Kötelező útvonalak szolgáltatás által támogatott alhálózat-konfigurációval
Az alábbi táblázatban ismertetett útvonalak szükségesek annak biztosításához, hogy a felügyeleti forgalom közvetlenül egy célhelyre legyen irányítva. Az útvonalakat a hálózati szándék szabályzata kényszeríti ki, és az ügyfélnek nem kell üzembe helyeznie. A kapcsolati architektúrával és a felügyeleti forgalommal kapcsolatos további információkért lásd a magas szintű kapcsolati architektúrát.
| Név | Címelőtag | Next hop |
|---|---|---|
| AzureActiveDirectory | AzureActiveDirectory | Internet* |
| OneDsCollector | OneDsCollector | Internet* |
| Tároló.primaryRegion | Tároló.primaryRegion | Internet* |
| Tároló.secondaryRegion | Tároló.secondaryRegion | Internet* |
| alhálózat–vnetlocal | Alhálózati | Virtuális hálózat |
Megjegyzés:
*A Next ugrás oszlop internetes értéke arra utasítja az átjárót, hogy irányítsa a forgalmat a virtuális hálózaton kívülre. Ha azonban a célcím egy Azure-szolgáltatáshoz tartozik, az Azure az Azure-felhő helyett közvetlenül a szolgáltatás felé irányítja a forgalmat az Azure-hálózaton keresztül. Az Azure-szolgáltatások közötti forgalom nem halad át az interneten, függetlenül attól, hogy a virtuális hálózat melyik Azure-régióban található, vagy melyik Azure-régióban van üzembe helyezve az Azure-szolgáltatás egy példánya. További információkért tekintse meg az Azure-beli virtuális hálózati forgalom útválasztását.
Bejegyzéseket is hozzáadhat az útvonaltáblához a helyszíni privát IP-címtartományokkal rendelkező forgalom célként való átirányításához a virtuális hálózati átjárón vagy a virtuális hálózati berendezésen keresztül.
Hálózati korlátozások
A TLS 1.2 kényszerítve van a kimenő kapcsolatokon: 2020 januárjától a Microsoft a TLS 1.2-t kényszeríti ki az összes Azure-szolgáltatás szolgáltatáson belüli forgalmára. A felügyelt SQL-példány esetében ez azt eredményezte, hogy a TLS 1.2 kényszerítve lett a replikációhoz használt kimenő kapcsolatokon és az SQL Serverhez társított kiszolgálói kapcsolatokon. Ha az SQL Server 2016-nál korábbi verzióját használja felügyelt SQL-példányokkal, győződjön meg arról, hogy TLS 1.2-specifikus frissítéseket alkalmaz.
A felügyelt SQL-példány jelenleg nem támogatja a következő virtuális hálózati funkciókat:
- Adatbázis-levelezés külső SMTP-továbbítóknak a 25-ös porton keresztül: Az adatbázis-üzenetek küldése a 25-ös porton keresztül külső e-mail-szolgáltatásokba csak a Microsoft Azure bizonyos előfizetési típusai számára érhető el. A más előfizetési típusok példányainak más portot (például 587) kell használniuk a külső SMTP-továbbítókhoz való csatlakozáshoz. Ellenkező esetben előfordulhat, hogy a példányok nem kézbesítik az adatbázis-leveleket. További információ: Kimenő SMTP-csatlakozási problémák elhárítása az Azure-ban.
- Microsoft-társviszony:A Microsoft-társviszony engedélyezése olyan ExpressRoute-kapcsolatcsoportokon, amelyek közvetlenül vagy tranzitív módon vannak társviszonyban egy olyan virtuális hálózattal, amelyben a felügyelt SQL-példányok találhatók, hatással vannak a virtuális hálózaton belüli SQL Managed Instance-összetevők közötti forgalomra, valamint azoktól függő szolgáltatásokra. A rendelkezésre állási problémák eredménye. A felügyelt SQL-példányok olyan virtuális hálózaton történő üzembe helyezései, amelyeken már engedélyezve van a Microsoft-társviszony-létesítés, várhatóan sikertelenek lesznek.
- Virtuális hálózatok közötti társviszony-létesítés – globális: Az Azure-régiók közötti virtuális hálózati társviszony-létesítés nem működik a felügyelt SQL-példányok azon példányai esetében, amelyek 2020. szeptember 9. előtt létrehozott alhálózatokban vannak elhelyezve.
- Virtuális hálózatok közötti társviszony-létesítés – konfiguráció: A felügyelt SQL-példányokat tartalmazó alhálózatokat tartalmazó virtuális hálózatok közötti virtuális hálózatok közötti társviszony létesítésekor az ilyen alhálózatoknak különböző útvonaltáblákat és hálózati biztonsági csoportokat (NSG) kell használniuk. Az útvonaltábla és az NSG újrafelhasználása a virtuális hálózatok közötti társviszony-létesítésben részt vevő két vagy több alhálózatban csatlakozási problémákat okoz az adott útvonaltáblákat vagy NSG-t használó összes alhálózatban, és a felügyelt SQL-példány felügyeleti műveletei meghiúsulnak.
- AzurePlatformDNS: Ha az AzurePlatformDNS szolgáltatáscímkével letiltja a platform DNS-feloldását, az elérhetetlenné teszi a felügyelt SQL-példányt. Bár a felügyelt SQL-példány támogatja az ügyfél által definiált DNS-t a dns-feloldáshoz a motoron belül, a platform dns-étől függ a platformműveletek esetében.
- NAT-átjáró: Az Azure Virtual Network NAT használatával szabályozhatja a kimenő kapcsolatokat egy adott nyilvános IP-címmel, így a felügyelt SQL-példány nem érhető el. A felügyelt SQL-példány szolgáltatás jelenleg az alapszintű terheléselosztó használatára korlátozódik, amely nem biztosítja a bejövő és kimenő folyamatok egyidejű használatát az Azure Virtual Network NAT-jával.
- IPv6 for Azure Virtual Network: A felügyelt SQL-példány üzembe helyezése a kettős veremű IPv4/IPv6 virtuális hálózatokon várhatóan sikertelen lesz. Ha egy hálózati biztonsági csoportot vagy útvonaltáblát társít felhasználó által definiált útvonalakkal (UDR-ekkel), amely IPv6-címelőtagokat tartalmaz egy felügyelt SQL-példány alhálózatához, akkor a felügyelt SQL-példány nem érhető el. Emellett az IPv6-címelőtagok hozzáadása egy olyan hálózati biztonsági csoporthoz vagy UDR-hez, amely már társított egy felügyelt példány alhálózatával, elérhetetlenné teszi a felügyelt SQL-példányt. A felügyelt SQL-példányok hálózati biztonsági csoporttal és IPv6-előtagokkal már rendelkező UDR-sel rendelkező alhálózatra történő üzembe helyezése várhatóan sikertelen lesz.
- A Microsoft-szolgáltatások számára fenntartott Azure DNS-privát zónák: A következő tartománynevek fenntartott nevek:
windows.net, ,database.windows.net,core.windows.net,monitoring.core.windows.netmanagement.core.windows.nettable.core.windows.netblob.core.windows.net,queue.core.windows.netlogin.microsoftonline.comlogin.windows.netgraph.windows.netservicebus.windows.netés .vault.azure.netA felügyelt SQL-példány olyan virtuális hálózaton való üzembe helyezése, amely rendelkezik egy társított Azure DNS privát zónával, amely egy Microsoft-szolgáltatások számára fenntartott nevet használ. Ha egy fenntartott nevet használó Azure DNS privát zónát társít egy felügyelt példányt tartalmazó virtuális hálózattal, akkor a felügyelt SQL-példány nem érhető el. A Private Link konfigurálásáról további információt az Azure Private Endpoint DNS-konfigurációja című témakörben talál.
További lépések
- Az áttekintést a felügyelt Azure SQL-példányok bemutatása című témakörben tekintheti meg.
- További információ: Virtuális fürtarchitektúra
- Megtudhatja, hogyan állíthat be új Azure-beli virtuális hálózatot vagy meglévő Azure-beli virtuális hálózatot , ahol üzembe helyezhet felügyelt SQL-példányt.
- Számítsa ki annak az alhálózatnak a méretét, ahol telepíteni szeretné a felügyelt SQL-példányt.
- Megtudhatja, hogyan hozhat létre felügyelt példányt:
- Az Azure Portalról.
- A PowerShell használatával.
- Azure Resource Manager-sablon használatával.
- Egy Azure Resource Manager-sablon és egy jumpbox és az SQL Server Management Studio használatával.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: